Hizmet olarak yazılım (SaaS) uygulama ayak izi, dünya çapındaki her kuruluşta durmadan genişliyor. Çalışanlar, Microsoft 365 (M365) ve Google Workspace gibi şirketin temel SaaS uygulamalarına üçüncü taraf uygulamalarına erişim izni vererek güvenlik risklerine neden oluyor. Bu arada güvenlik ekipleri ve kuruluşlar, bağlı uygulamaların sayısını izleyemiyor veya bu uygulamaların neden olduğu risk düzeyini ölçemiyor.
Adaptive Shield tarafından kısa süre önce yayınlanan “2023 SaaS-to-SaaS Erişim Raporu: Üçüncü Taraf Bağlantılı Uygulamaların Risklerini ve Gerçeklerini Ortaya Çıkarma” raporu, tipik bir 10.000 SaaS kullanıcılı kuruluşta ortalama 4.371 bağlı uygulama buldu. hem M365 hem de Google Workspace. Ayrıca, Google Workspace’e bağlı üçüncü taraf uygulamalarının %89’undan fazlası ve M365’e bağlanan uygulamaların %67’si, bir şirketin SaaS verileri için yüksek veya orta düzeyde risk oluşturuyor. Rahatsız edici bir şekilde, bu uygulamaların çoğuna gizli ve özel şirket verilerini silmelerine veya paylaşmalarına izin veren yüksek riskli izinler verilmiştir.
Bilinmeyen SaaS uçurumuna ilişkin içgörüler sağlayan Adaptive Shield, güvenlik ekiplerine üçüncü taraf uygulamalarının her yerde bulunmasına dair gerçekçi bir görünüm sağlamak ve günümüzün SaaS’tan SaaS’a gerçeklerini ve risklerini derinlemesine açıklamak için yüzlerce kiracıdan gelen anonimleştirilmiş müşteri verilerini bir araya getirdi.
Sorunu Anlamak
İşte tipik bir çalışanın karşılaşabileceği bir senaryo: Google Dokümanlar’da yerel bir adres mektup birleştirme özelliği yoktur. Bu özelliğe ihtiyaç duyan kullanıcılar, bunu yapan bir uygulama bulabilir. Örneğin, Mailmeteor bu işlevi sağlayabilir ve çalışanın Google e-tablolarını silmesine ve kullanıcı adına e-posta göndermesine izin vermesini gerektirir.
Farklı bir uygulama olan Adres Mektup Birleştirme, tüm Google Dokümanlar dokümanlarını, tüm Google E-Tablolar e-tablolarını, tüm Google Slaytlar sunularını ve diğer tüm Google Drive dosyalarını görmek, düzenlemek, oluşturmak ve silmek için izin istiyor. Adres Mektup Birleştirme, taslakları yönetme ve e-posta gönderme, Gmail’deki ayarları ve filtreleri değiştirme ve kullanıcılar yokken çalıştırma izinleri de ister.
Bu senaryoda Adres Mektup Birleştirme, çalışanın yüklemesi için daha yüksek riskli bir uygulamadır. Bir tehdit aktörü, Adres Mektup Birleştirme uygulamasının kontrolünü ele geçirirse, kritik kurumsal verileri içeren tüm Google Drive’ları kolayca silebilir, indirebilir veya şifreleyebilir.
Üçüncü Taraf Bağlantılı Uygulama Hacmi
Üçüncü taraf uygulamalarının hacmi, üçüncü taraf bağlantılı uygulamaları neredeyse yönetilemez hale getirir. Şirketler büyüdükçe, bu büyümeyle orantılı olarak uygulama sayısı da artıyor.
Bunlar, şirket büyüklüğüne göre ortalama olarak M365 bağlantılı uygulamaların sayısıdır:
- <5.000 kullanıcı: 522 bağlı uygulama
- 5.000-10.000 kullanıcı: 1.253 bağlı
- 10.000-20.000 kullanıcı: 3.508 bağlı uygulama
Ayrıca, Google Workspace’e bağlı uygulamalar, M365’ten önemli ölçüde daha yüksektir. Aşağıdaki tabloda gösterildiği gibi bunlar, şirket büyüklüğüne göre Google Workspace’e bağlı uygulamaların ortalama sayılarıdır:
- <5.000 kullanıcı: 1.309 bağlı uygulama
- 5.000-10.000 kullanıcı: 4.216 bağlantılı uygulama
- 10.000-20.000 kullanıcı: 13.913 bağlantılı uygulama
Bu şok edici istatistiklere dayanarak, bu, ortalama olarak, 1.000 kullanıcısı olan bir şirketin Google’a bağlı 600’den fazla uygulama ve M365’e bağlı 200 uygulama görmeyi beklemesi gerektiği anlamına gelir.
Bu verilere üstünkörü bir bakış, M365 ortamının daha az bağlı uygulama nedeniyle daha az endişe kaynağı olduğunu düşündürebilir. Ancak durum böyle değil.
Genellikle Google Workplace’e bağlı daha fazla üçüncü taraf uygulaması olsa da, Microsoft ve Google ile birlikte çalışan güvenlik ekibinin bağlı uygulamaların güvenliğini sağlamak için sayıları çalıştırırken ihtiyaç duyduğu gözetim ve kontrol miktarı benzer ölçektedir.
Riskli İzin ve Kapsamlar
Her üçüncü taraf uygulaması, bir SaaS uygulamasına bağlanırken belirli izinler ister. Rapor, uygulama tarafından talep edilen izin türlerine göre bu izinleri düşük, orta ve yüksek riskli olarak sınıflandırır.
“2023 SaaS-to-SaaS Erişim Raporu”, M365’e bağlı uygulamaların %39’unun yüksek riskli ve diğer %28’inin orta riskli olarak değerlendirildiğini ayrıntılarıyla açıklıyor. Google Workspace’e bağlı uygulamaların yalnızca %11’i yüksek riskli, ancak %78’i orta düzeyde riskli ve hassas izinlere erişim gerektiriyor.
Yüksek izin kapsamlarına sahip birçok uygulama, içeriği okuyabilir, güncelleyebilir, oluşturabilir ve silebilir. Uygulamalara genellikle posta kutularına tam erişim verilir ve kullanıcı olarak e-posta gönderebilir.
Uygulamalar, buldukları verileri çalabilen, satabilen, şifreleyebilen veya yayınlayabilen tehdit aktörleri tarafından ele geçirilebileceğinden, bu izinler şirket için önemli bir risk oluşturur.
SaaS’tan SaaS’a Erişimde Zirvede Kalmak
SaaS’tan SaaS’a erişimin kapsamı, manuel olarak yönetimi imkansız hale getirir. Bu saldırıyı kontrol etmeye ve verileri üçüncü taraf uygulamalarının dayattığı risklerden korumaya çalışan kuruluşlar, otomatikleştirilmiş bir araca ihtiyaç duyar.
SSPM’ler, SaaS yığınınıza bağlı her uygulamaya ve her uygulamaya verilen izinlere ilişkin görünürlük sağlayarak üçüncü taraf uygulama izlemeyi otomatikleştirir.
Tüm bilgileri ve bulguları okumak için raporun tamamını indirin.
yazar hakkında
IDF’de eski bir siber güvenlik istihbarat subayı olan Maor Bin, 16 yılı aşkın bir süredir siber güvenlik liderliğine sahiptir. Kariyerinde Proofpoint’te SaaS Threat Detection Research’e liderlik etti ve IDI hizmeti sırasında operasyonel mükemmellik ödülünü kazandı. Maor, Bilgisayar Bilimleri alanında lisans derecesine sahiptir ve Adaptive Shield’in CEO’su ve kurucu ortağıdır.